Who is kevin.?Why kevin.?For developersJoin kevin.
Log inReach out
Reach out
Avoin pankkitoiminta

Asiakkaan vahvan tunnistamisen (SCA) opas

5 minuutin lukuaika
SCA

14. syyskuuta 2019 asiakkaiden vahva tunnistaminen (strong customer authentication, SCA) tuli pakolliseksi yrityksille, jotka käsittelevät sähköisiä maksuja Euroopassa. Vaatimus koskee kaikkia Euroopan talousalueella (ETA), Monacossa ja Yhdistyneessä kuningaskunnassa sijaitsevia yrityksiä, jotka käsittelevät verkkomaksuja. Vaatimus on osa tarkistettua maksupalveludirektiiviä (PSD2).

Asiakkaan vahvalla tunnistamisella pyritään lisäämään verkkomaksujen turvallisuutta varmistamalla käyttäjän henkilöllisyyden luotettavampi ja petoksilta suojattu todentaminen. Tässä oppaassa määritellään asiakkaan vahva tunnistaminen, tutustutaan asiakkaan vahvan tunnistamisen vaatimuksiin, käytännön noudattamiseen sekä poikkeuksiin.

Mitä tarkoittaa asiakkaan vahva tunnistaminen (SCA)?

Asiakkaan vahva tunnistaminen (SCA) on toisessa maksupalveludirektiivissä (PSD2) asetettu vaatimus kaikille maksupalvelujen tarjoajille ETA-alueella, Monacossa ja Yhdistyneessä kuningaskunnassa. Vaatimuksella varmistetaan, että kaikki sähköiset maksut suoritetaan turvallisesti käyttämällä kaksivaiheista todentamista (2FA).

Asiakkaan vahvan tunnistamisen alkuperäinen määritelmä saattaa vaikuttaa monimutkaiselta, mutta se voidaan myös selittää yksinkertaisella tavalla. Asiakkaan vahva tunnistaminen tarkoittaa tiivistettynä sitä, että Euroopassa maksajien todentamisessa on useita vaiheita heidän ostaessaan tuotteita tai palveluita verkossa.

Asiakkaan vahva tunnistaminen on osa eurooppalaista PSD2-maksupalveludirektiiviä. Olemme laatineet aiheesta kattavan oppaan, jossa PSD2-maksupalveludirektiivi on selitetty yksityiskohtaisesti ja jonka avulla voit tutustua kaikkeen sitä koskevaan olennaiseen tietoon.

PSD2 requirements for SCA

Vaaditun todennustavan täytyy sisältää kaksi kolmesta tietotyypistä:

  • Tieto: jotain, mitä henkilö tietää. Esimerkiksi salasana, PIN-koodi, sarja jne.
  • Omistettava asia: jotain, mitä henkilö omistaa, kuten matkapuhelin, tabletti, tietokone jne.
  • Ominaisuus: jokin henkilön ominaispiirre. Esimerkiksi sormenjälki, kasvonpiirre, ääni jne.

Kaksivaiheinen todennus varmentaa käyttäjän henkilöllisyyden tarkemmin kuin pankkien aiemmin käyttämät staattiset salasanat.

Miten asiakkaan vahva tunnistaminen toimii?

Asiakkaan vahva tunnistaminen auttaa todentamaan käyttäjän henkilöllisyyden ja tarjoaa kuluttajille aiempaa paremman suojan.

Joitakin poikkeuksia lukuun ottamatta asiakkaan vahvaa tunnistamista käytetään aina, kun:

  • käyttäjä käyttää pankkitiliään verkossa
  • maksaja aloittaa verkkomaksun
  • käyttäjä voi altistua verkkopetoksille suorittaessaan minkä tahansa toimenpiteen etäyhteydellä.

Liiketoiminnan näkökulmasta asiakkaan vahva tunnistaminen voi vaihdella maksutavan mukaan. 3DS- tai 3D Secure -tietoturvaprotokollaa käytetään pääasiassa luotto- ja pankkikorttien yhteydessä, kun taas mobiililompakot ja muut paikalliset maksutavat tarjoavat usein oman todennusvaiheen, joka vastaa asiakkaan vahvan tunnistamisen vaatimuksia.

Mitä tarkoittaa vastaavuus asiakkaan vahvan tunnistamisen vaatimusten kanssa?

Täyttääkseen PSD2-maksupalveludirektiivin edellyttämän asiakkaan vahvan tunnistamisen vaatimukset yrityksen on käytettävä monivaiheista todennusta. Asiakkaan vahvan tunnistamisen vaatimuksiin vastaamiseen on kaksi pääasiallista tapaa. Yritykset voivat joko ottaa käyttöön 3D Secure -tietoturvaprotokollan tai integroida järjestelmäänsä vaihtoehtoisia maksutapoja.

3D Secure -tietoturvaprotokolla

3D Secure -tietoturvaprotokolla on kehitetty suorittamaan lisäturvatoimia kortinhaltijoiden suojaamiseksi heidän verkkomaksujensa aikana. 3D Secure -tietoturvaprotokollan avulla tehtävä asiakkaan vahva tunnistaminen edellyttää maksajalta toimia sen vahvistamiseksi, että hän on maksun maksaja. Vahvistus voidaan tehdä näppäilemällä koodi, jonka kortin myöntäjä toimittaa maksajalle tekstiviestillä tai mobiilisovelluksen kautta.

Yksi 3D Secure -protokollan tärkeimmistä ominaisuuksista on vastuunsiirto. Kun käyttäjä on suorittanut todennuksen, kauppiaan vastuu mahdollisista vilpillisistä takaisinveloituksista siirtyy myöntäjäpankille.

Vaihtoehtoiset maksutavat

Yritykset, jotka etsivät asiakkaan vahvan tunnistamisen vaatimukset täyttäviä maksuvaihtoehtoja, voivat ottaa käyttöön ns. paikalliset maksutavat tai digitaaliset lompakot.

Paikalliset maksutavat ovat maksuvaihtoehtoja, jotka ovat suosittuja tietyissä maantieteellisissä sijainneissa. Luotettavan verkkomaksuratkaisun valitseminen voi vapauttaa kauppiaat eri pankkien maksuvirtojen integroimisesta ja asiakkaan vahvan tunnistamisen vaatimusten varmistamisesta.

Paikallisten maksumenetelmien käyttöönotto voi myös parantaa kauppiaan maksuvirtojen käsittelyä, luoda paremman maksukokemuksen kuluttajille ja kasvattaa konversioastetta.

Mitkä ovat asiakkaan vahvan tunnistamisen vaatimukset?

Asiakkaan vahva tunnistaminen on pakollinen ETA-alueella, Monacossa ja Yhdistyneessä kuningaskunnassa suoritettavissa kaikissa sähköisissä maksuissa. Sekä kauppiaan että kortinhaltijan pankin täytyy sijaita näillä alueilla. Asiakkaan vahvan tunnistamisen vaatimuksilla varmistetaan, että verkkomaksujen yhteydessä käytetään monivaiheista todennusta, mikä lisää verkkomaksutapahtumien turvallisuutta.

Jotkin maksutapahtumat on mahdollista vapauttaa asiakkaan vahvan tunnistamisen vaatimuksesta. Seuraavassa osiossa tarkastellaan tärkeimpiä poikkeuksia asiakkaan vahvan tunnistamisen vaatimukseen.

Vapautukset asiakkaan vahvasta tunnistamisesta

Mainitsimme jo aiemmin, että asiakkaan vahvan tunnistamisen vaatimus koskee useimpia Euroopassa suoritettavia verkkomaksuja. Jotkin tapahtumat on kuitenkin jätetty PSD2-maksupalveludirektiivin määräysten soveltamisen ulkopuolelle. Alla on luettelo asiakkaan vahvan tunnistamisen vaatimukseen tehtävistä tärkeimmistä poikkeuksista:

Vähäisen riskin maksutapahtumat

Vähäriskisiksi katsotut tapahtumat voidaan vapauttaa asiakkaan vahvan tunnistamisen vaatimuksesta. Riski lasketaan maksutapahtumien riskianalyysin perusteella ja se vaihtelee liikkeeseenlaskijan tai vastaanottajan määrittelemien petososuuksien kynnysarvojen mukaan.

Jos ostaja pitää maksutapahtumaa vähäriskisenä, hän voi pyytää vapautusta riskianalyysin perusteella. Jos vapautus myönnetään, kuluttajat voivat ohittaa asiakkaan vahvan tunnistamisen maksutapahtuman yhteydessä, summan suuruuden mukaan.

Vähäarvoiset maksutapahtumat

Maksutapahtumat, joiden summa on pienempi kuin 30 euroa, sekä samalta kortilta veloitettavat kumulatiiviset maksut, joiden summa on alle 100 euroa, eivät edellytä asiakkaan vahvaa tunnistamista.

Tämä tarkoittaa, että alle 30 euron suuruiset maksut voidaan suorittaa ilman todennusta, mutta myöntäjäpankki seuraa, kuinka monta maksua tehdään tätä poikkeuslupaa käyttäen. Maksajalta pyydetään vahva tunnistautuminen, jos maksujen kokonaissumma ylittää 100 euroa tai joka viidennen maksutapahtuman kohdalla.

Toistuvat maksutapahtumat

Toistuvat kiinteän summan tapahtumat voidaan vapauttaa asiakkaan vahvan tunnistamisen vaatimuksesta ensimmäisen maksutapahtuman jälkeen, jolloin todennus vaaditaan. Jos maksun summa kuitenkin muuttuu, maksajalta vaaditaan vahva tunnistautuminen jokaisen uuden summan kohdalla.

Luotettavat maksunsaajat

Maksaja voi valita luotettavia kauppiaita ja lisätä ne luotettaviksi maksunsaajiksi. Kortinhaltija voi maksaa luotettaville kauppiaille ilman asiakkaan vahvaa tunnistamista summasta riippumatta.

Loppupäätelmä

Asiakkaan vahva tunnistaminen on vaatimus, joka on otettu käyttöön verkkomaksujen paremman tietoturvan varmistamiseksi ja joka koskee kaikkia yrityksiä, joiden kauppiaat ja asiakkaiden pankit sijaitsevat Euroopassa. Asiakkaan vahvan tunnistamisen vaatimuksen täyttämiseksi yritysten on otettava maksuvirtojensa käsittelyssä käyttöön monivaiheinen todennus.

Noudattaakseen asiakkaan vahvan tunnistamisen vaatimusta yritykset voivat käyttää 3D Secure -tietoturvaprotokollaa tai ottaa käyttöön paikallisia maksutapoja. Asiakkaan vahvan tunnistamisen vaatimus koskee kaikkia verkkomaksuja, mukaan lukien Internet- ja mobiilimaksut. Joihinkin tapahtumiin ei sovelleta asiakkaan vahvan tunnistamisen vaatimusta. Tällaisia ovat vähäisen riskin maksutapahtumat, vähäarvoiset maksutapahtumat sekä toistuvat maksutapahtumat.

Jos haluat lisätietoja PSD2-maksupalveludirektiivistä tai avoimesta pankkitoiminnasta, lue muut blogijulkaisumme. Olemme laatineet laajan oppaan, jossa avoin pankkitoiminta on selitetty.

Content writer AdelinaAdelina KiskyteAiempi vanhempi sisältöpäällikkö
Adelina on kokenut sisällöntuottaja ja sisältömarkkinoinnin asiantuntija. Hän pitää työstään teknologian alalla ja kirjoittaa mielellään innovaatioista. Toimittajataustansa ansiosta Adelina osaa etsiä tehokkaasti tietoa myös kapeista erikoisaloista sekä luoda mielenkiintoista ja informatiivista sisältöä.
Valitse kumppani, joka ennakoi tulevaa

Kasvata liiketoimintaasi kevin.in kanssa.

Puhutaan

Suositellut artikkelit

  1. Is open banking safe?

    Avoin pankkitoiminta

    Onko avoin pankkitoiminta turvallista?

    5 minuutin lukuaika
  2. What are the benefits of open banking?

    Avoin pankkitoiminta

    Mitkä ovat avoimen pankkitoiminnan edut?

    Lukuaika: 7 min
  3. What you need to know about APIs in open banking

    Avoin pankkitoiminta

    Avoimet pankkitoiminnan ohjelmointirajapinnat

    6 minuutin lukuaika